[ Chapter 3 ] 랩과 툴

Chapter 3의 소 주제로는 포렌식 랩의 역할과 구조, 포렌식 랩에서의 정책 및 절차의 목적, 포렌식에서의 품질 보증의 역할, 디지털 포렌식 하드웨어와 소프트웨어, 인가와 자격증이 있다.

 

간단히 요약하자면 이 장에서는 디지털 포렌식 환경과 자주 사용되는 하드웨어 및 소프트웨어에 대해 다룬다. 그리고 랩을 인가하고 툴을 검증하는 데 사용되는 표준에 대해서 살펴본다. 이러한 표준을 설명할 때는 포렌식의 밑바탕이 되는 품질보증과 함께 설명한다. 

[ 포렌식 랩 ]

: 대부분 시설은 법 집행 기관이 운영한다. 대표적 예시로 FBI 범죄 연구소가 있다.

 

기관의 부서에서 포렌식을 자체적으로 실시할 수 없을 때 포렌식 랩 환경에서 포렌식 조사가 이루어진다. 미국에서는 증가하는 조사관의 수요를 충족시키기 위해 FBI는 RCFL(Regional Computer Forensic Laboratory, 지역 컴퓨터 포렌식 연구소) 프로그램을 시작했다. 이 프로그램은 모든 수준의 디지털 포렌식 서비스와 교육을 제공하며, 디지털 포렌식에 중대한 영향을 미쳤다.

< 가상 랩 >

: 오늘날 기술은 조사관과 자료 처리소가 지리적으로 다른 위치에 있어도 되는 "가상" 랩을 운영할 수 있게 해 준다. 

 

이러한 가상 환경은 역할 기반의 접근제어를 할 수 있게 해준다. 제한된 접근권한으로 사람들이 무엇을 보고 무엇을 할 수 있는지 제한할 수 있도록 한다. (조사관, 관리자, 변호사, 검사 등에게 각 권한을 달리할 수 있음.)

 

이 외에도 가상 랩은 비용절감, 더 많은 자원에 접근 가능(Ex: 툴과 저장장치), 다양하고 더 많은 전문성에 접근 가능 그리고 자원의 불필요한 감소 등 다양한 이점이 있다.

 

가상 랩을 운영하기 위해서는 아래의 세 가지 사항을 고려해야 한다.

1. 보안: 시스템 보안은 법정에서 요구하는 증거의 무결성의 수준을 유지할 수 있도록 충분히 강해야 한다.
2. 성능: 가상 랩이 제대로 운용되기 위해서는 연결 속도가 빠르고 안정적이어야 한다.
3. 비용: 특히 초기 비용이 매우 많이 들고, 많은 기관들이 비용을 감당하지 못할 수도 있다.

< 랩 보안 >

: 증거와 시설에 대한 접근은 엄격하게 관리해야 한다. 이러한 엄격한 보안은 랩을 거치는 디지털 증거의 무결성 유지에 핵심적인 역할을 한다. 이 외에도 증거의 관리에서 화재, 홍수를 비롯한 자연재해도 고려해야 한다.

 

연계보관성은 문서와 마찬가지로 랩 전반에 걸쳐 적용된다. 랩에서 증거를 조사하고 법정으로 이동시킬 때는 반드시 반출입 문서를 작성해야 한다. 또한, 현장과 인터넷, 랩 자체의 컴퓨터에서 랩에 있는 증거로의 네트워크 접근도 고려해야 한다. 대표적 사례로 조사에 사용되는 컴퓨터는 인터넷에 연결되어 있으면 안 된다.

 

따라서 가상 랩은 운영 특성상 어떻게 증거의 무결성을 유지할 수 있는지 설명할 수 있어야 한다.

< 증거 저장 > 

: 증거를 사용하고 있지 않을 때에는 반드시 접근이 제한적이고 보안적으로 안전한 장소에 증거를 저장해두어야 한다. 대표적인 솔루션은 데이터 세이프(data safe)가 있다.

 

증거를 저장한 곳은 사용하지 않을 때 항상 잠금 장치를 해 둬야 한다. 로그나 감사 기록을 유지해 증거 저장장치와 다른 민감한 구역으로의 접근을 통제할 수 있다. 이는 연계보관성을 모니터하고 확인하는 데 매우 유용하다.

[ 정책과 절차 ]

: 랩에서 증거 처리, 조사 실시, 기록 유지, 시설의 보안 유지 등은 정책과 표준작업 절차서로 통제해야 한다.

 

- 표준작업 절차서: 포렌식 조사가 어떻게 수행되어야 하는지 자세하게 명시한 문서다. 표준작업 절차서가 너무 광범위하면 작업을 일관적으로 유지하고 증거의 무결성을 보장하는 데 비효과적이다. 너무 세부적일 경우 특이한 상황이 발생했을 때 대처할 수 있는 유연성이 부족하게 된다. 

[ 품질보증 ]

: 모든 법과학의 근본이 되는 원칙이다. 모든 랩에는 품질보증 프로그램이 있어야 한다.

품질보증은 문서화된 프로토콜 시스템으로 분석 결과의 정확성과 신뢰성을 유지하기 위해 사용된다. 좋은 품질보증 프로그램은 보고서의 2중 검토(peer review), 증거 처리, 사건 문서화, 랩 인력 교육 등 다양한 부분을 다룬다.
(James & Nordby, 2009)

품질보증의 검토 과정은 기술검토, 행정적 검토의 두 가지로 나눌 수 있다.

• 가술 검토: 첫 번째 조사관이 보고한 결과가 이 사건의 증거로 충분히 증명이 되는가?
• 행정적 검토: 모든 서류작업이 정확하게 완료되었는가?

조사관의 능력은 반드시 정기적으로 확인하고 이를 문서화해야 하는 능력시험(proficiency test)을 해야 한다. 능력시험에서 조사관은 가상의 증거를 사용해 그들의 능력을 반드시 증명해야 한다. 능력시험은 4가지 종류가 있다.

1. 공개 테스트: 분석가와 기술지원 인력들은 본인이 테스트를 받고 있다는 사실을 인지하고 있다.
2. 블라인드 테스트: 분석가와 기술지원 인력들이 본인이 테스트를 받고 있다는 사실을 인지하고 있지 않다.
3. 내부 테스트: 기관 자체에서 실시한다.
4. 외부 테스트: 테스트를 받고 있는 기관과는 독립적인 기관에서 실시한다.

< 툴 검증 >

: 툴은 하드웨어든 소프트웨어든 설계 사항대로 작동해야 한다. 모든 툴은 실제 사건에서 사용되기 전에 검증해야 한다. 검증과정은 툴이 제대로 작동하고 있고 신뢰할 수 있고, 정확한 결과가 나타나는 것을 명확하게 증명할 수 있어야 한다. 검증과정 또한 문서화해야 한다. 만약 문서화하지 않는다면 모든 증거가 법정에서 채택되지 못할 위험이 발생할 수 있다.

< 문서화 >

: 전반적인 포렌식 프로세스에서 사용되는 여러 종류의 문서와 보고서는 랩이나 기관의 표준작업 절차서와 매뉴얼에 명시되어 있어야 한다. 제출문서, 연계보관성 기록, 조사관의 노트, 조사관의 최종 보고서 등은 가장 중요한 문서이다.

 

일반적으로 특정 사건과 관련된 모든 문서는 사건 기록실에 저장된다. 사건 기록실에는 사건과 관련된 모든 문서가 저장되어 있다. 보통 사건 제출 서류, 지원 요청, 조사관의 노트, 범죄 현장 보고서, 연계보관성 기록 등이 포함되어 있다.

 

- 서식: 사전에 출력한 서식을 현장과 랩에서 많이 사용한다. 이러한 서식들은 프로세스를 진행하는 동안 무엇을 해야 할 지에 대해 도움이 되며 높은 수준의 품질이 유지될 수 있게 한다.

서식은 모든 필요한 정보가 동일한 형식으로 기록될 수 있도록 한다. 일반적으로 서식은 증거를 상세히 설명할 때, 연계보관성을 기록할 때, 그리고 조사를 요청할 때 등에 사용된다.

 

- 조사관의 노트: 모든 조사관의 행동과 관찰사항이 해당 날짜와 함께 기록된다. 노트를 기록할 때는 상세히 기록해 또 다른 조사관이 조사를 할 때 프로세스를 반복할 수 있어야 한다. 노트에는 아래와 같은 내용들이 기록된다.

• 검찰관과 수사관을 포함해 핵심 인물과의 토의
• 특이 사항 및 관련 조치
• 운영체제, 버전 및 패치 상태
• 비밀번호
• 랩이나 법 집행 인력이 시스템을 변경한 사항

- 조사관의 최종 보고서: 공식 문서로서 수사가 거의 완료될 때 검사, 수사과느 반대편 변호사 등에 전달된다. 일반적으로 보고서에는 아래와 같은 내용이 포함되어 있다.

• 보고 기관
• 사건 식별 번호 / 제출 번호
• 제출하는 사람과 사건 수사관의 신원 정보
• 받은 날짜 및 보고 날짜
• 시리얼 번호, 제조사, 모델 등 증거를 식별할 수 있는 세부 정보
• 조사관의 신원정보
• 조사 방법
• 결과와 결론

보통 보고서를 읽는 사람은 일반인이므로 최종 보고서 초안을 작성할 때는 누가 보고서를 읽을 것인지 고려해 작성하는 것이 핵심이다. 기술적 배경지식이 없는 사람들도 이 보고서를 읽고 이해할 수 있어야 한다.

 

보고서의 주요 부분은 요약과 결과에 대한 세부설명이다. 요약 부분은 조사 결과를 간략히 설명한 것이다. 결과에는 그 이유와 세부내용을 상세히 설명해야 한다. 들어갈 수 있는 세부내용은 아래와 같다.

• 요청과 직접 관련 있는 파일들
• 결과를 지원하는 파일들
• 이메일, 웹 캐시, 채팅 로그 등
• 키워드 검색
• 기기 소유권에 대한 증거

이 외에도 보고서에 용어사전을 추가하는 방법도 도움이 된다. 따라서 결과를 이해할 수 있는 형태로 기술하는 것도 포렌식 전문가로서의 책임 중 하나라고 할 수 있다.

[ 디지털 포렌식 툴 ]

: 포렌식 업무를 더 효율적으로 만들거나 툴 없이는 불가능한 작업을 할 수 있도록 해준다. 단 하나의 툴로 모든 작업을 할 수 없고, 하나의 툴이 모든 작업을 다 잘 할 수 있는 것도 아니라는 점을 알아야 한다. 여러 개의 툴을 구비해서 사용하면 하나의 툴에서 찾은 내용을 다른 툴로 검증할 수 있어 신뢰도를 높일 수 있다는 점에서 장점이 있다.

< 툴 선택 >

: 미국 국립표준기술연구소(The National Institute of Standards and Technology, NIST)와 미국 법무연구소(National Institute of Justice, NIJ)가 제시한 검증 방법이 대표적이다.

 

NIST는 컴퓨터 포렌식 툴 테스트 프로젝트(Computer Forensic Tool Testing Project, CTTT)를 실시했다. 이는 "공통적인 툴의 사양과 테스트 절차, 테스트 기준, 테스트 세트 및 테스트 하드웨어를 개발해 컴퓨터 포렌식 소프트웨어 툴을 테스트하기 위한 방법론"을 수립한다.

 

하드웨어가 됐든 소프트웨어가 됐든 모든 툴은 실제 사건 업무에 사용하기 전에 반드시 검증해야 하고, 툴이 수정되었거나 업데이트되었을 때도 다시 검증해야 한다. 검증을 하면 법정에서도 툴의 유효성을 증명할 수 있어 유용하다.

< 하드웨어 >

: 클로닝 장비, 휴대폰 수집 장비, 쓰기 차단 기기, 휴대용 저장 장치, 어댑터, 케이블 등이 있다.

 

디지털 포렌식은 하드웨어에 크게 의존하고 있다. 컴퓨터는 디지털 포렌식 랩의 중추적인 역할을 한다. 디지털 포렌식 조사는 많은 컴퓨터의 능력을 필요로 하므로 좋은 사양의 컴퓨터를 구매하는 것이 좋다. 포렌식 소프트웨어 제조업체들은 최소 하드웨어 사양과 권고 하드웨어 사양에 대한 내용을 제공한다.

 

조사관들은 다량의 데이터를 검토해야 할 경우가 많아 디지털 포렌식 랩은 대량의 데이터를 저장할 수 있어야 한다. 

 

디지털 포렌식은 더 이상 "PC 중심의" 산업이 아니다. 휴대폰, 네비게이션과 같은 작은 기기가 랩에 계속 쏟아지고 있어 PC를 분석할 때 사용했던 것과는 다른 하드웨어가 필요하다. Cellebrite 사의 UFED는 3,000개 이상의 휴대폰을 지원한다. Cellebrite 경쟁사인 Paraben Corporation은 4,000개 이상의 휴대폰, PDA, 네비게이션 장비를 지원한다. PC와는 다르게 휴대기기는 연결선 및 케이블에 관련된 표준이 없다. 따라서 랩에서는 다양한 종류의 케이블을 구비해서 수많은 종류의 휴대기기를 처리할 수 있어야 한다.

 

많은 회사들이 하드웨어 클로닝 기기를 만든다. 포렌식 클론은 하드 드라이브와 같은 특정 매체를 비트 하나하나 복사한 것이다. 툴을 사용하면 클로닝 속도를 증가시킬 수 있고, 여러 개의 드라이블르 한 번에 클로닝할 수도 있다. 또한 이런 툴은 쓰기 방지, 해시 인증, 드라이브 완전 삭제, 감사 기록 등의 기능도 제공한다.

< 소프트웨어 >

: 시중에는 다용도 툴, 제한된 목적의 툴과 같이 다양한 디지털 포렌식 소프트웨어 제품이 있다. 소프트웨어를 선택할 때는 오픈소스를 사용할 것인가, 상업용 제품을 사용할 것인가를 먼저 선택할 필요가 있다.

 

- 오픈소스 툴

: 대표적으로 SIFT 또는 the SANS Investigate Forensic Toolkit가 있다. SIFT는 우분투 리눅스를 기반으로 만들어졌다. SIFT를 통해 파일 카빙, 파일 시스템, 기록, 휴지통, 네트워크 트래픽, 휘발성 메모리 등을 분석할 수 있고, 타임라임 기능이 있다. SIFT는 아래와 같은 파일 시스템을 지원한다.

• 윈도우(MSDOS, FAT, VFAT, NTFS)
• MAC(HFS)
• 솔라리스(UFS)
• 리눅스(EXT2/3/4)

- 상업용 소프트웨어 도구

: 대표적으로 AccessData 사의 Forensic Toolkit(FTK)와 Guidance Software의 EnCase가 있다. 이들 소프트웨어는 다양한 용도가 있고, 아래의 작업을 포함한 여러 가지 작업을 할 수 있다.

• 검색
• 이메일 분석
• 분류
• 보고서 작성
• 패스워드 크래킹

이 제품들에 있는 검색 툴은 매우 강력하고, 아래와 같은 정보를 검색할 수 있다.

• 이메일 주소
• 이름
• 전화번호
• 키워드
• 웹 주소
• 파일 종류
• 날짜 범위

툴에 대한 의존
GUI 기반의 포렌식 툴은 독이 될 수 있다. 단 한 번의 버튼 클릭으로 조사를 실시할 수 있는 툴은 더 효율적일 수 있지만, 조사관들은 실제로 툴이 어떻게 작동하는지 이해하고 있어야 할 뿐만 아니라 조사하는 흔적이 최초에 어떻게 생성되었는지도 잘 알고 있어야 한다.

아래의 표에서는 조사관이 사용할 수 있는 포렌식 툴이 나와 있다.

툴	용도	웹 사이트
Forensic Toolkit Access Data Group, LLC	다용도 툴(수집, 검증, 검색, 보고, 완전 삭제 등)	http://accessdata.com
Encase Guidance Software, Inc.	다용도 툴(수집, 검증, 검색, 보고, 완전 삭제 등)	http://www.guidancesoftware.com
SMART & SMART for Linux ASR Data, Data Acquisition and Analysis, LLC	다용도 툴(수집, 검증, 검색, 보고, 완전 삭제 등)	http://www.asrdata.com/forensics-oftware/
X-Ways Forensics X-ways Software Technology AG	다용도 툴(수집, 검증, 검색, 보고, 완전 삭제 등)	http://www.x-ways.net/forensics/
Helix3 Pro e-fense, Inc.	다용도 툴(수집, 검증, 검색, 보고, 완전 삭제 등)	http://www.e-fense.com/products.php
Softblock, Macquisition, Blacklight BlackBag Technologies Inc.	다용도 매킨토시 포렌식 툴	https://www.blackbagtech.com/forensics.html
Mac Marshall Architecture Technology Corporation	다용도 매킨토시 포렌식 툴	http://www.macmarshal.com/
Raptor Forward Discovery, Inc.	리눅스 기반 수집 및 프리뷰 툴	http://www.forwarddiscovery.com/Raptor
Dossier Logicube, Inc.	하드웨어 수집	http://www.logicube.com/
Forensic hardware tools Tableau	쓰기 방지, 브리지, 저장 장치, 수집	http://www.tableau.com/
Wiebetech	저장장치, 쓰기 방지 등	http://www.wiebetech.com/home.php

< 다른 장비 >

: 하드웨어, 소프트웨어 이외에도 필요한 장비가 있다. 범죄현장에서 사용할 수 있는 키트는 랩 외부에서 작업할 때 매우 유용하다. 이 키트에는 조사관이 현장에서 디지털 증거를 수집하는 데 필요한 모든 장비가 사전 탑재되어 있다. 키트에는 펜, 디지털 카메라, 포렌식적으로 초기화된 매체, 증거 봉투, 증거 테이프, 보고서 형식, 유성 펜 등이 포함되어 있다.

[ 인가 ]

: 범죄 랩의 정책과 절차, 즉 랩의 업무방식을 보증하는 것이다. 미국범죄감정과학연구소 소장협회의 연구소 인증보드(The American Society of Crime Laboratory Directors/Laboratory Accreditation Board, ASCLD/LAB)는 포렌식 랩 인가에 있어서 세계적으로 인정받는 선두 기관이다.

 

ASCLD/LAB의 목적은 아래와 같이 4가지 목적이 있다.

1. 형사사법제도에 제공하는 랩 서비스의 품질을 개선한다.
2. 랩의 성과와 수준을 평가하고 운영을 강화하기 위해 랩이 사용할 수 있는 기준을 개발하고 유지한다.
3. 독립적이고 공정하며 객관적인 시스템을 제공한다.
4. 일반 국민과 사용자에게 수립된 표준을 충족하는 랩을 식별하는 수단을 제공한다.

ASCLD/LAB은 두 가지 인가 프로그램이 있다. 첫 번쨰는 레거시 프로그램이고, 두 번째는 국제 프로그램이다. 이 두 프로그램에는 공통점과 차이점이 모두 존재한다.

 

가장 큰 차이점은 충족시켜야 하는 기준의 수이다. 국제 프로그램에서는 레거시 프로그램보다 훨씬 더 많은 표준을 충족시켜야 한다. 또한, 국제 프로그램 인가를 받기 원하는 랩은 ISO/IEC 17025:1999(E) "시험 및 교정 시험소를 위한 일반 요구사항"과 ASCLD/LAB의 "법과학 시험 및 교정 시험소를 위한 국제적 추가 요구사항"에 있는 요구사항을 충족시킨다는 것을 증명해야 한다.

 

이 외에도 미국재료시험협회가 디지털 포렌식을 포함해 다양한 법과학 분야에 표준을 제공하고 있다.

< 인가 vs 자격증 >

인가는 랩이 받는 것이고, 자격증은 각각의 조사관이 받는 것이다. 자격증을 따기 위해서는 보통 필기나 실기 시험을 통과해야 한다. SWGDE는 디지털 포렌식 자격증과 관련해 문서를 발행했다. SWGDE는 모든 디지털 포렌식 자격증은 최소한 다음과 같은 핵심 능력은 테스트해야 한다고 주장한다.

1. 조사 시작 전 절차와 법적 문제
2. 매체 평가 및 분석
3. 데이터 복원
4. 복원된 데이터 분석
5. 문서화 및 보고
6. 결과 제시

참고 도서: www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788994774206

이제 시작이야 디지털 포렌식 - 교보문고